菜鸟国际电子游戏首页 > 文章中心 > 正文

thinkcmf 框架上的任意内容包含漏洞(修复方法)-电子游戏app下载



thinkcmf是一款基于php mysql开发的中文内容管理框架,底层采用thinkphp3.2.3构建。
thinkcmf提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。
每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发sns应用时如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本。

国际电子游戏官网:http://www.thinkcmf.com


影响版本

thinkcmf x1.6.0
thinkcmf x2.1.0
thinkcmf x2.2.0
thinkcmf x2.2.1
thinkcmf x2.2.2


漏洞危害

远程攻击者在无需任何权限情况下,通过构造特定的请求包即可在远程服务器上执行任意代码。


演示

(linux服务器)

http://网站地址/?a=display&templatefile=readme.md
http://网站地址/?a=display&templatefile=/etc/passwd


(windows服务器)

http://网站地址/?a=display&templatefile=c:\windows\system32\drivers\etc\hosts


修复方法

将 homebasecontroller.class.php 和 adminbasecontroller.class.php 类中 display 和 fetch 函数的修饰符改为 protected



转载于:https://blog.riskivy.com/thinkcmf-框架上的任意内容包含漏洞/?from=timeline&isappinstalled=0





转载请注明出处:

0

相关文章